Хакер #305. Многошаговые SQL-инъекции
Выступая на мероприятии Kaspersky NEXT 2020 эксперт «Лаборатории Касперского» Дмитрий Галов рассказал, что аукцион по продаже исходных кодов банковского Android-трояна Cerberus, очевидно, не оправдал ожиданий авторов малвари. В итоге исходники были бесплатно опубликованы для премиум-пользователей на популярном русскоязычном хак-форуме, сообщает издание ZDNet.
Напомню, что в конце лета текущего года мы уже писали о продаже исходников Cerberus. Цена начиналась от 50 000 долларов США, и авторы малвари намеревались провести аукцион с шагом в размере 1000 долларов (впрочем, за 100 000 долларов вредонос можно приобрести сразу и без торга). В эту цену входило все сразу: от исходного кода, до списка клиентов, наряду с инструкциями по установке и скриптами для совместной работы компонентов. То есть покупатель мог получить исходный код вредоносного APK, модуль, а также «ключи» от панели администратора и серверов.
Тогда продавец уверял, что причина продажи исходников проста: якобы хак-группа, создавшая Cerberus, распалась, и больше некому заниматься круглосуточной поддержкой. В итоге на продажу выставили все, включая базу клиентов с активной лицензией, а также контакты клиентов и потенциальных покупателей. При этом, по данным продавца, Cerberus приносил своим операторам примерно 10 000 долларов в месяц.
Теперь Галов сообщил, что теперь под названием Cerberus v2 распространяются исходные коды банкера, и это несет большую угрозу для пользователей смартфонов и банковского сектора в целом. Похоже, желающих приобрети троян даже за 50 000 долларов так и не нашлось.
По данным специалистов, после публикации исходников в Европе и России уже наблюдается рост заражений мобильной малварью. При этом Галов отметил, что предыдущие операторы Cerberus предпочитали не атаковать российских пользователей мобильных устройств, но теперь картина существенно изменилась.
Cerberus был обнаружен ИБ-специалистами летом 2019 года. Тогда сообщалось, что малварь не использует какие-либо уязвимости и распространяется исключительно за счет социальной инженерии.
Модульный банкер позволяет злоумышленникам установить полный контроль над зараженными устройством, а также обладает классическим для подобных вредоносов функциями: использование оверлеев, контроль SMS и извлечение списка контактов. Также в начале текущего года эксперты ThreatFabric писали, что троян научился похищать коды двухфакторной аутентификации, сгенерированные приложением Google Authenticator.
На протяжении года хак-группа, стоящая за разработкой малвари, рекламировала свой троян как услугу по подписке — он стоил 12 000 долларов в год (или 4000 долларов на 3 месяца, 7 000 долларов на 6 месяцев).